運維安全審計在電網企業的應用

導語：運維安全審計在電網企業的應用一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：隨著IT系統不斷成熟及廣泛的應用，給電網企業中的工作帶來規范、便捷、高效的辦公流程和業務模式之余，安全問題也隨之而來，預防難、控制難、追溯難等問題威脅著電網企業信息中心的安全。因此，為了預防、控制、追溯這些不安全因素，運維安全審計的建設在電網企業中提上了日程。

關鍵詞：安全審計；應用；建設

一、概述

運維安全審計是為企業各類應用提供統一的賬號管理平臺，同時建立包含賬號創建、變更、刪除等整個生命周期在內的管理制度和技術手段，以改變目前各應用系統自行管理賬號、政出多門的情況,，以及能夠跟蹤行為人的操作記錄并以日志和視頻方式記錄。

二、系統特征

（一）技術路線。運維安全審計采用了MVC分層設計及SOA的設計思想，使用web程序與組件結合發方式，web程序在框架設計上采用SSH框架結構，并在此基礎上使用了ICA、UDP等協議作為層間交互。為了系統的靈活部署和特定功能實現，軟堡壘機、密碼代填等組件的技術選型使用了C++開發語言。（二）體系結構。運維安全審計從物理部署上采用三層架構，客戶端辦公域、虛擬化資源池及實際機房，其中虛擬化資源池承載著應用服務器、citrix服務器及審計組件。（三）技術難點。運維安全審計除物理機其他服務器均為虛擬機，因此在Hypervisor核心虛擬化技術上存在一定難點。如：I/O指令或其他特權指令引發的處理器異常、虛擬化應用中斷等。

三、技術架構

（一）總體架構。運維安全審計總體架構包括用戶的賬號管理、認證管理、授權管理和審計管理。總體框架分為6個層面，展現層、業務邏輯層、服務交互層、持久化層、虛擬化層、外部系統接口層。展現層是提供給管理員維護系統、進行數據展現和分析的管理展現門戶；為系統管理員提供不同權限的維護、管理、查詢等功能；便于對系統各內部模塊進行管理維護、運行監控；集中展現系統中賬號管理、認證管理、授權管理、審計查詢報表等業務操作。（二）系統軟件平臺。運維安全審計在技術實現上主要由應用層、業務層、服務層、數據層四層組成。應用層負責系統上層管理界面的展現；其中portal、admincenter、iamreport、bsb、plan、squirrel模塊分別負責前臺管理、后臺管理、報表管理、消息服務總線、計劃管理、審計管理；業務層主要承載系統的單點登錄、從賬號雙向同步等關鍵業務的實現；服務層負責系統及網絡日志的采集、通過hibernate或SQL對業務數據進行標準化以及內外部接口的實現等；數據層承載整個系統數據持久化。運維安全審計遵循SAML協議等國際成熟技術為基礎，底層數據庫采用LDAP目錄服務器及傳統RDB型數據存儲，LDAP目錄服務器符合目錄X.500標準，優勢在易于系統間的整合，有效保證資源類產品與外界業務間的共享和整合，發揮了目錄存儲的查詢效率，提升平臺性能。在運維安全審計中PostgreSQL數據庫主要用于存儲系統管理類、日志類數據，并針對業務場景與其他外部業務系統共享和整合。（三）網絡環境。運維安全審計運行在信息內網中，來自外部的安全威脅需借助公司統一的安全防護體系和措施。在系統邊界部署防火墻、IPS等安全檢測和防護裝置，避免系統間的安全事件擴散，隔離來自接入系統的安全攻擊和高風險行為。

四、技術特點

有別于業界對應用資源管理和系統資源管理基于不同管理系統的分散式管理機制，運維安全審計實現了全IT資源的一體化集中管理和控制，全面覆蓋各種類型的IT資源：（1）應用類資源：實現了應用類資源的統一用戶管理、授權管理、集中認證和日志審計管理；（2）系統類資源：實現了主機操作系統、數據庫、網絡設備等系統資源的集中賬號管理、授權管理、統一接入和單點登錄、日志審計。（3）提供用戶——角色——菜單權限的細粒度授權管理機制，支持對角色的權限進行查詢、創建、修改、刪除，實現了將菜單權限賦予角色的管理功能。（4）集中認證的目的是實現用戶訪問IT資源的登錄入口集中化和統一化，并實現高強度的認證，使整個IT系統的登錄和認證行為可控和可管。（5）運維安全審計通過與應用虛擬化技術結合，實現了C/S類客戶端的集中運行和虛擬化，實現了系統資源訪問的集中接入。（6）通過與虛擬化技術的結合，進一步提升了系統資源訪問的易用性和安全性。（7）維護終端無需再安裝訪問系統資源的客戶端軟件。（8）所有客戶端都在數據中心的服務器上運行，確保了維護操作的安全性。

五、應用案例

（1）某個服務器部署了多個應用系統，繳費系統廠商人員在檢修時通過運維安全審計登陸檢修服務器，偷偷在服務器上安裝偷電的插件程序，給電網企業造成了重大的經濟損失。由于檢修人員使用運維安全審計系統進行檢修，有證可查，責任認定明確，造成的損失由廠商承擔，并計入不良信用記錄。（2）各廠商在申請linux服務器時往往需要root賬號及密碼，按照傳統的方式，主機需要給每個申請人及服務器root密碼，由于root具有最高權限，密碼長時間掌握在申請人手里具有很大的風險。而運維安全審計可以將密碼收回，集中在服務器管理員手中，申請人不再掌握root密碼，這樣更加有利于服務器的安全。

六、結束語

信息安全不僅涉及到企業的經濟利益，更涉及國家安危。因此，我們應加大力度，開發符合規范的運維安全審計系統，對于國家各項政策的落實，企業經濟利益的保證，防范信息安全事故的發生，追究信息安全責任，具有重要的意義，具有良好的社會經濟利益。

參考文獻

[1]郭翔飛.論運維管理之安全審計[C].福建省煙草公司南平市公司信息中心,2015.

[2]楊曉雪.高校運維安全審計系統建設及應用[J].上海財經大學信息化辦公室,2015,18(5):93-95.

[3]袁慧萍，董貞良.銀行數據中心運維安全審計實踐探析[C].中國人民銀行金融信息中心,2016.

作者:胡非 劉為 王丹妮 李沖 單位:國網遼寧省電力有限公司信息通信分公司